MENÚ
El portal de obtención del certificado COVID de la Comunidad de Madrid sufrió una brecha de seguridad por la que quedaron al descubierto los datos de miles de ciudadanos y ciudadanas. Entre ellos los de figuras públicas, como el presidente del Gobierno, Pedro Sánchez, o el rey Felipe VI, tal y como desvelaron Telemadrid y elDiario.es. Cinco días después del aviso, seguían accesibles al público copias de los datos contenidos en el portal del rey emérito Juan Carlos I, según ha podido comprobar Maldita.es.
Tras hacerse público el fallo en el sistema, se tumbó la página web para cortar el acceso indiscriminado a estos datos, que al cierre de esta publicación sigue inactiva. Sin embargo, se había almacenado una copia de los datos del exmonarca y un menor en Wayback Machine, una librería digital en la que se pueden archivar copias de cualquier página web.
Buscando en este archivo una dirección URL que corresponde al portal del certificado COVID de Madrid e introduciendo el DNI de Juan Carlos I en ella, se obtenía un documento de texto plano con su nombre completo, fecha de nacimiento, dirección (de La Zarzuela), el número de teléfono y el número de identificación sanitario.
La copia del portal que almacenaba estos datos ha sido ya retirada del archivo de Internet, poco después de que Maldita.es alertara a la Comunidad de Madrid de esta incidencia.
Los datos del rey Juan Carlos I y un menor de edad de Madrid estaban accesibles en el archivo de Internet
Los datos personales del rey Juan Carlos I podían descargarse a través de una copia de la dirección web del portal donde se obtenía el certificado COVID de Madrid y que se había registrado en WayBack Machine. Como citamos arriba, quedaban al descubierto datos personales como su dirección, número de teléfono, DNI y número de identificación sanitaria, pero no otros datos referentes a su vacunación. El número de teléfono que figura en este perfil de Juan Carlos I es el mismo que aparecía en el del rey Felipe VI, según ha podido saber Maldita.es.
Este medio no ha podido comprobar de manera independiente que hubiese más copias de registros de datos de otras figuras públicas. Bajo la dirección URL de identificación de pacientes del portal de la comunidad sólo aparecían dos direcciones web más, aparte de la que contenía el DNI de Juan Carlos I: en una de ellas el campo en el que tenía que aparecer este número figuraba un “XXXXXX” y en la otra “123456A”. Ninguna de las dos se corresponde con el documento identificativo de una persona y tampoco había otras copias guardadas en la caché de los buscadores ni otros archivos públicos.
Sin embargo, la copia de la URL en la que figuraba escrito “XXXXXX” en el campo del DNI sí que arrojaba datos de un ciudadano de Madrid. La residencia que aparecía estaba ubicada en San Fernando de Henares y junto a ella aparecía un número de teléfono, el CIP autonómico (el número de identificación sanitaria) y su fecha de nacimiento. La particularidad de este paciente es que es menor de edad, por lo que el CIP puede ser suyo propio o corresponderse con el de su padre o el de su madre. Presumiblemente, también el número de teléfono.
La Comunidad de Madrid solicitó la retirada de las copias de estos datos tras el aviso de Maldita.es
Contactada por Maldita.es, la Comunidad de Madrid confirmó que los datos guardados en el archivo de Internet se correspondían con “los accesos indebidos del pasado miércoles por la tarde” y que el acceso al portal de certificado COVID continúa “bloqueado” hasta que “se completen correctamente todos los filtros de seguridad”.
Según especificó el gobierno regional tras ser alertado de la brecha del pasado miércoles, se produjo una “vulnerabilidad de seguridad en la funcionalidad del portal del ciudadano” para la obtención del certificado COVID-19 “que afectaba a un enlace que no es de dominio público”. “Esta incidencia se debió a la subida de una actualización que pasó los protocolos de pruebas y que en el proceso de puesta en marcha generó una brecha que ha quedado solventada en horas tras ser detectada por los servicios de calidad”.
También han confirmado a Maldita.es que el Servicio Madrileño de Salud solicitó la retirada de las capturas hechas en WayBack Machine tras conocer que estaban archivadas.
Se desconoce si alguien guardó las copias a propósito o las indexó directamente WayBack Machine
WayBack Machine, el archivo de Internet, actúa como una gran librería en la que los usuarios podemos guardar ‘capturas’ de las páginas web que queramos. Así, aunque estas se retiren o se modifiquen, podremos acceder a una copia tal y como estaban en el día y la hora en las que las guardamos. La copia de la dirección URL que descargaba los datos del rey emérito y este menor de edad se había hecho el 7 de julio.
Se desconoce si la captura la guardó alguien de forma proactiva -es decir, guardando las direcciones web directamente en WayBack Machine- o si el portal indexó las páginas web en cuestión de forma automática, aunque los indicios apuntan a ello. Cuando accedíamos a las capturas del 7 de julio, en el apartado de “cuándo” se hicieron y “por qué”, figuraba un enlace al perfil de ‘Archive Team’.
Según su descripción, ‘Archive Team’ es un colectivo de activistas formados en 2009 que se dedica a “guardar copias de páginas web que puedan cerrar prematuramente o que hayan sido eliminadas por el bien del legado digital e histórico”. El grupo está formado por “voluntarios” y “partes interesadas” y se dedica a almacenar copias de contenidos que circulan por todo Internet. Esto incluye páginas de difícil acceso para un usuario medio. Para ello también utilizan herramientas automatizadas como bots: programas informáticos diseñados para rastrear páginas web de foros y blogs en busca de enlaces que archivar.
En su página web, desde WayBack Machine explican que archivan únicamente páginas web que están “disponibles al público”. Para ello, usan también arañas (como se llama a programas que rastrean la red automáticamente en busca de enlaces o contenidos), que hacen búsquedas en blogs y foros públicos de enlaces que pueda guardar.
También afirman que no registran páginas que requieran de una contraseña para acceder. Para acceder al portal de certificado COVID de Madrid se necesitaba hacer uso del certificado digital, el DNI electrónico o la Cl@ve Pin permanente, pero el portal tenía un fallo de autenticación que se saltaba este paso imprescindible.
La Agencia Española de Protección de Datos ha abierto un expediente de investigación a Indra y la Comunidad de Madrid
El organismo oficial de protección de datos abrió el pasado jueves un expediente de investigación contra la Comunidad de Madrid e Indra, la empresa que gestiona la plataforma de obtención del certificado digital, tras recibir varias reclamaciones. Entre ellas, de la organización de consumidores Facua.
También figura una denuncia ante la Policía Nacional interpuesta por Telemadrid, que presentó una copia de las pruebas de la brecha de seguridad por la que quedaron al descubierto los datos personales de la ciudadanía de Madrid.
